Verlede week het die ontwikkelaars van die gewilde wagwoordbestuurder LastPass 'n opdatering vrygestel wat 'n kwesbaarheid regstel wat tot die uitlek van gebruikersdata kan lei. Die probleem is aangekondig nadat dit opgelos is en LastPass-gebruikers is aangeraai om hul wagwoordbestuurder op te dateer na die nuutste weergawe.
Ons praat van 'n kwesbaarheid wat deur aanvallers gebruik kan word om data te steel wat deur die gebruiker ingevoer is op die laaste webwerf wat besoek is. Die probleem is verlede maand ontdek deur Tavis Ormandy, 'n lid van die Google Project Zero-projek, wat navorsing op die gebied van inligtingsekuriteit doen.
LastPass is tans die gewildste wagwoordbestuurder. Die ontwikkelaars het die voorheen genoemde kwesbaarheid in weergawe 4.33.0 opgelos, wat op 12 September publiek beskikbaar geword het. As gebruikers nie LastPass se outomatiese opdateringsfunksie gebruik nie, word hulle aangeraai om die nuutste weergawe van die sagteware handmatig af te laai. Dit moet so vinnig moontlik gedoen word, want nadat die kwesbaarheid reggestel is, het navorsers die besonderhede daarvan gepubliseer, wat deur aanvallers gebruik kan word om wagwoorde te steel van toestelle waarop die toepassing nog nie opgedateer is nie.
Uitbuiting van die kwesbaarheid behels die uitvoering van kwaadwillige JavaScript-kode op die teikentoestel, sonder enige gebruikerinteraksie. Aanvallers kan gebruikers na kwaadwillige werwe lok om geloofsbriewe wat in 'n wagwoordbestuurder gestoor is, te steel. Tavis Ormandy glo dat die uitbuiting van die kwesbaarheid redelik eenvoudig is, aangesien aanvallers 'n kwaadwillige skakel kan verdoesel, wat die gebruiker mislei om daarop te klik om die geloofsbriewe wat op die vorige webwerf ingevoer is, te steel.
LastPass-verteenwoordigers lewer geen kommentaar oor hierdie situasie nie. Op die oomblik is daar geen gevalle bekend waar hierdie kwesbaarheid deur aanvallers gebruik is nie.
Bron: 3dnews.ru